¿Hay que activar las alarmas?

No quiero ponerme melodramático, pero en los últimos días han llegado varias noticias que apuntan a un incremento general del impacto del malware:

El Servicio de correo electrónico de la Universidad notifica una incidencia, según la cual el spam que se está recibiendo ha crecido de forma exponencial.

Hispasec titulaba su noticia del viernes Alarmante crecimiento de máquinas zombies y botnets (creo que sobran comentarios).

Ayer Panda se hacía eco de un estudio de Radicati Group sobre el incremento del tráfico de mensajes que portan algún tipo de código malicioso.

Por último tengo también noticias que apuntan a un incremento de los incidentes relacionados con bots y rootkits.

Así las cosas, y ante la más que fundada sospecha de que estos fenómenso están interrelacionados, parece que nos enfrentamos a una situación que no es comparable a las alertas producidas por virus y gusanos "clásicos", por lo que las medidas que haya que adoptar también habrán de ser necesariamente diferentes.

Vulnerabilidad en Escritorio remoto de Windows

Según reseña VSAntivirus, el protocolo RDP (Remote Desktop Protocol) utilizado por el servicio de Escritorio Remoto de Windows XP, las versiones Terminal Server de NT 4.0 y 2000 y Windows Server 2003, presenta una vulnerabilidad que permitiría a un atacante remoto aplicar técnicas de "Man in the Middle" para, por ejemplo, capturar contraseñas.

Por el momento no existe parche para esta vulnerabilidad.

La noticia completa está accesible aquí.

Dos nuevas actualizaciones de Norman

Durante esta tarde y en el plazo de apenas un par de horas Norman ha publicado dos nuevas actualizaciones. La primera incorpora 1058 nuevas firmas, en tanto que de la segunda todavía no dispongo de más detalles.

Visto que en los últimos días están recibiéndose informes preocupantes acerca del incremento de actividad de netbots (malware capaz de capturar máquinas para crear redes de zombies o netbots) y que, por los datos de Norman, se reseñan centenares de variantes de SdBot, creo que no se debe demorar más el tomar cartas en el asunto; mañana intentaré "evangelizar" a mis superiores sobre la transcendencia del problema.

LA OCDE recomienda el uso de software libre

En un informe del que se hace eco la edición electrónica del diario El Pais, La Organización para la Cooperación y el Desarrollo Económico, sostiene que el fenómeno del spam supone un importante problema para los paises en vías de desarrollo, ya que disponen de menos recursos para hacerle frente. Como consecuencia, amén de otras medidas, proponen el uso de software libre.

El informe está accesible aquí, y en él se pueden encontrar referencias explícitas no sólo a Linux, también a Mozilla, Open Office, Sendmail, Clam AV o Spamassassin.

Troyanos y espionaje industrial

A nadie se le oculta que una de las posibilidades que ofrecen los troyanos es la de espiar a los usuarios de las máquinas afectadas. Lo que ya no es tan frecuente es que este malware se use de modo intencionado y masivo para practicar el espionaje industrial.

Pues bien, esto es lo que recoge la noticia diaria de Hispasec; la detención en Israel de 18 personas, encontrándose entre ellos altos ejecutivos de importantes empresas, acusados de practicar el espionaje industrial valiéndose de troyanos.

La inevitable reflexión es si lo insólito de la noticia se deberá a la poca frecuencia con la que se dan este tipo de casos, o si no será más bien que, dado que la imagen de una compañía es un activo importante para ella, estas situaciones raramente salen a la luz.

Actualización de Norman

Como casi todos los viernes se caba de producir una actualización de ficheros de firmas de Norman. Esta vez son "sólo" 2249.

Diapositivas de la sesión con Microsoft

Las diapositivas de la sesión de seguridad con Microsoft del pasado martes están acccesibles en el sitio de Tecnhet en este enlace.

Cross-Site Scripting sobre servidores seguros

En su noticia de ayer Hispasec demostraba que es posible realizar ataques de phishing contra servidores seguros, aún cuando se verifique que la URL comienza por https y el icono del navegador indique que se está utilizando un certificado válido. Esto es posible si la programación de una aplicación web presenta vulnerabilidades del tipo Cross-Site Scripting.

Hispasec ha desarrollado una prueba de concepto y ha preparado tres vídeos flash en los que se muestra todo el proceso, a los que se puede acceder aquí.

Campaña mundial contra las redes de zombies

Según informa el portal VirusProt.com organismos gubernamentales de diversos paises han lanzado una campaña para combatir la proliferación de las redes de zombies.

Como parte de esta campaña se han remitido cartas a más de 3000 ISPs solicitándoles que adopten diversas medidas entre las que se encuentra, por ejemplo, el bloqueo del puerto 25 excepto para los usuarios de correo SMTP autenticados, lo que parece una medida muy sensata.

La noticia completa puede leerse en el sitio de Oficina Federal de Comercio de Estados Unidos. Se supone que por parte española la Agencia de Protección de Datos participa en la campaña, pero en su web no he podido (o no he sabido) encontrar ninguna referencia.

Phishing de Star Wars en Yahoo Messenger

Según informa hoy EnciclopediaVirus, se ha detectado el envío de mensajes de phishing a usuarios de Yahoo Messenger utilizando com reclamo la última entrega de la saga de la Guerra de las Galaxias.

El objetivo era el robo de credenciales de usuario de Yahoo mediante untroyano que se descargaba al visitar el enlace incluido en el mensaje.

Hasta ahora los ataques de phishing a través de los sistemas de mensajería instantánea no han sido muy comunes, pero, al igual que ha ocurrido con los gusanos, es previsible que se vayan incrementando en el futuro, máxime cuando los usuarios no parecen tener una conciencia del riesgo que pueden suponer los sistemas de mensajería instantánea, al menos en comparación con las cuatelas que sí van extendiéndose respecto al correo electrónico.

La noticia completa puede consultarse aquí.

Vulnerabilidades en antivirus

Hispasec por un lado y VSAntivirus por otro, informan hoy de la existencia de vulnerabilidades en productos antivirus de Computer Associates y Zone Labs respectivamente.

Malware y tecnología de firmas

En su noticia diaria de ayer Hispasec analizaba la posibilidad de utilizar la clásica tecnología de identificación por firmas, utilizada para la detección de virus gusanos y troyanos, contra otros tipos de malware, como spyware, adware e incluso phishing y spam.

Se trata pues de una razonable crítica a los fabricantes de antivirus que me ha hecho recordar como hace años hubo quien, para justificar su poca efectividad, argumentaba que su producto era "antivirus, no anti-troyanos".

La noticia completa, aquí.

Phishers detenidos en Zaragoza

Según informaba ayer miércoles Heraldo de Aragón, han sido detenidas varias personas en Zaragoza acusadas de efectuar estafas mediantes técnicas de phishing. Aunque el número de afectados y el importe de lo robado no son demasiado elevados, siempre queda la posibilidad de que haya casos no denunciados.

Sesión de seguridad con Microsoft

Ayer varios compañeros asistimos en Logroño, a una sesión sobre seguridad organizada por Microsoft.

En ella, al margen de la inevitable dosis de autoalabanzas (no demasiado agresiva; al fin y al cabo Technet no es el departamento de marketing) se expusieron principios, se analizaron riesgos y se reseñaron tecnologías de seguridad. Pero, como casi siempre en estos casos, la parte más interesante fueron las demos de ataques y, en particular para mí, la prueba de los rootkits.

Cuando el webcast de la sesión esté disponible lo reseñaré.

Y Sober no acudió

Pasados un par de días desde el cambio de rutina de Sober no parecen haberse detectado esos posibles nuevos efectos de los que me hacía eco el jueves. Y además el spam nazi aparentemente ha desaparecido.

Así las cosas se puede afirmar que Sober no acudió a la cita. ¿Seguro? quizá tan sólo llegue con retraso...

Troyano... y chantajista !

Leo en la web de Panda la noticia de la aparición de un nuevo troyano, PGP.Coder que codifica digitalmente archivos de datos (.doc, .xls, .html, .jpg, .zip y .rar) y deposita en sus directorios un archivo .txt en el que informa de ello, y facilita una dirección de correo a la que solicitar la clave que permita recuperarlos... previo pago de 200 dólares.

Si quedaba alguna duda de que el propósito del malware sea cada vez más el lucro, noticias como esta contribuyen sin duda a disiparla!

Actualización de Norman

Norman publicó el lunes por la tarde una nueva actualización, 72 ejemplares sin novedades especialmente significativas.

Actualización para Netscape 8

Según informa Panda, Netscape acaba de publicar una actualización de seguridad para la recien estrenada versión 8.0 de su navegador.

Al parecer tras haber asegurado que pese a estar basada en la versión 1.0.3 de Firefox no presentaba las vulnerabilidades que reciente corrigió Mozilla con la 1.0.4, han tenido que rectificar y publicar esta actualización, que está disponible en:

http://browser.netscape.com/ns8/download/default.jsp

Por cierto; todavía no está disponibñe en castellano, ni la 8.0 ni la 8.1.

Vulnerabilidad DoS remota en IPv6 de Windows

VSantivirus reseñó ayer un informe de FrSIRT (French Security Incident Response Team) según el cual Microsoft Windows XP y Server 2003 presentan una vulnerabilidad en el tratamiento de IPv6 que podría ser explotada por un atacante remoto para provocar una Denegación de Servicios.

Vulnerabilidades corregidas en MySQL

Oxygen3, la lista de correo de Panda, se hace hoy eco de la noticia reseñada por Securitytracker acerca de dos vulnerabilidades descubiertas y ya corregidas en el gestor de bases de datos de código libre MySQL.

MySQL está distribuyendo una versión que corrige estos que problemas accesible en su area de descargas.

Actualización de Norman

Norman ha publicado esta misma mañana una nueva actualización de ficheros de firmas que contabiliza 1091 nuevos ejemplares.

Como curiosidad se incorporan dos nuevas variantes de un virus de macro para Word 97.

Hispasec alertará de virus por SMS

Hispasec ha lanzado una nuevo servicio por el cual alertará a través de mensajes a teléfonos móviles acerca de la aparición de nuevo malware.

Por supuesto los mensajes se emitirán sólo ante la detección de amenazas especialmente peligrosas.

Los detalles pueden consultarse aquí.

¡Afortunadamente no tengo móvil! ;-)

Nueva versión de Sober genera spam nazi

Segun informan diversas fuentes una nueva versión del malware Sober, la Q, convierte a las máquinas que infecta en emisores de propaganda nazi.

En esta ocasión no se trata de un gusano de correo electrónico, ya que no es capaz de propagarse de forma automática; ha sido descargado e instalado en ordenadores previamente infectados por su antecesor Sober.P. El temor es que el ciclo continúe, ya que aunque el envío masivo debe desactivarse el próximo lunes, lo hace con la intención de descargar y ejecutar otros archivos, de modo que todo parece indicar que esto continuará... la próxima semana.

La reseña que Hispasec hace de Sober.Q puede consultarse aquí.

Denegación de servicio en Yahoo! Messenger

Según informa hoy Oxygen3, la lista de correo de información diaria de Panda, se ha detectado una vulnerabilidad en Yahoo! Messenger que puede producir una denegación de servicio.

Esta vulnerabilidad podría permitir que atacantes remotos desconecten a los usuarios de sus sesiones de chat.

El aviso está disponible (en inglés) en:

http://www.securiteam.com/windowsntfocus/5HP0H20FPE.html

Demostrado: El cifrado WEP no sirve para nada

Ese es el contundente título de la noticia diaria que transmite hoy Hispasec.

El texto relata que tres investigadores del FBI realizaron una demostración en la que rompieron una cifra WEP de 128 bits en tan sólo tres minutos, aunque se extiende también en otras consideraciones sobre seguridad en entornos inalámbricos.

La banca actúa contra el phishing

En su mensaje de hoy, Hispasec informa de los esfuerzos de las entidades bancarias para mejorar la seguridad de sus webs frente a los intentos de estafa.

La historia comenzó con un estudio que la propia Hispasec realizó en noviembre de 2004, según el cual 22 (el 44%) de 50 webs de entidades financieras analizadas, presentaban deficiencias de diseño que podían facilitar los ataques de phishing.

Un mes después 8 de ellas habían corregido las deficiencias, y ahora, seis meses después del estudio original tan sólo 5 son vulnerables.

La noticia completa, que contiene la tabla de resultados puede consultarse aquí.

Virus y mensajería instantánea

En los últimos meses están proliferando los gusanos que utilizan como vector de propagación los sistemas de mensajería instantánea.

El último del que he tenido noticia lo acaba de reseñar Sophos, se llama Oscabot-F (aunque no parece tener relación ninguna con Huesca) y su descripción puede consultarse aquí.

Por su parte Norman ha publicado las instrucciones (eso sí, en inglés) para configurar los clientes de mensajería instantánea de modo que los archivos recibidos sean escaneados de forma automática.

Nuevo parche de Microsoft

Ayer martes Microsoft liberó un nuevo parche que corrige algunos problemas detectados en Windows Installer 3.1, el cual formó parte de las actualizaciones del pasado mes de abril.

El parche afecta a Windows 2000, XP y Server 2003 y sus detalles pueden consultarse en:

http://support.microsoft.com/kb/893803/en-us

Reseño la versión inglesa del documento porque los resultados del traductor automático son manifiestamente mejorables (o quizá no; "atiende paquete" por "service pack" es todo un logro).

Spam político

Hasta hora me habían llegado noticias de que algunos grupúsculos del fundamentalismo cristiano estadounidense estaban utilizando técnicas de spam para difundir sus apocalípticas admoniciones.

Quizá por no haber llegado a recibir ninguno de esos mensajes me he sorprendido hoy al encontrar en mi buzón, y por supuesto en castellano, una proclama contraria al Tratado Constitucional para Europa, que aprovechando la circunstancia del próximo referéndum francés, defiende el No desde posiciones derechistas.

Se trata del primer ejemplo de spam político que recibo.

Service Pack 4 para MS SQL Server 2000

Microsoft acaba de publicar un nuevo Service Pack, el 4 para su Gestor de Bases de Datos SQL Server 2000.

A esta actualización, que corrige hasta 285 posibles problemas puede accederse desde la página de Microsoft España donde se reseñan todos los Service Packs para sus diferentes productos.

Actualización de Norman

Hoy lunes a última hora de la mañana se ha publicado una nueva actualización de Norman. Nuevamente sólo ficheros de firmas.

Informe trimestral de Panda sobre malware

PandaLabs ha publicado el primer número de un informe sobre malware que pretende tener periodicidad trimestral.

En él se destaca el gran aumento de los incidentes por spyware y adware así como del crecimiento de los intentos de estafa electrónica.

El informe está disponible en el sitio de Panda, en este enlace.

Actualización a Firefox 1.0.4

La fundación Mozilla acaba de publicar una actualización del navegador Firefox, que corrige las vulnerabilidades detectadas en versiones anteriores y de las que me hice eco el pasado dia 10.

Por el momento sólo veo disponible la descarga en mozilla.org.

Microsoft lanzará su propio antivirus

Según anuncia el portal DiarioTI.com, y tal como se preveía Microsoft va a lanzar una suite de herramientas de seguridad.

Con el nombre de Windows OneCare el paquete, que ya está siendo probado por los empleados de Microsoft, proporciona protección antivirus y antiespías, firewall bidireccional, herramientas de mejora del rendimiento (limpieza y defragmentación de disco, reparación de ficheros, copia de seguridad...),

El producto se anuncia como un servicio de suscripción y aunque por el momento no hay más detalles todo hace suponer que tenga una relación estrecha con el Programa de Ventajas de Windows Original que presentaron en enero.

Sobre el producto en sí habrá que esperar a probarlo, pero personalmente no soy muy partidario de poner todos los huevos en el mismo cesto.

La nota de prensa de Microsoft (en inglés) puede consultarse aquí.

Actualización de Norman

Ayer viernes a primera hora de la tarde se publicó una nueva actualización de Norman. Nuevamente sólo ficheros de firmas.

Retirada la alerta por Sober

El Centro de Alerta Temprana ha retirado la alerta levantada por el virus Sober. Lo cierto es que su incidencia ha sido escasa hasta el punto de que ninguna máquina de la Universidad ha sido comprometida por este gusano.

Actualización de Norman

Esta mañana se ha publicado una nueva actualización de Norman. Sólo contempla nuevas firmas, y otra vez son muchas: 1062 y como constatación de que el phishing está ahí una buena parte correspodenen a troyanos que intentan hacerse con datos bancarios.

El Pais editorializa sobre el phishing

El diario El Pais dedica uno de sus editoriales de hoy al fenómeno del phishing haciendo himcapié en lo que a las diferrentes partes (entidades financieras, administración, ISP, usuarios...) toca para intentar poner freno a esta plaga.

¿Plaga? la alerta parece indicar que efectivamente la hay, sin embargo no se cuenta con datos fiables respecto a su impacto real; los que se aportan son escasos y no suelen citarse las fuentes. Aunque puede entenderse que tanto las personas como las entidades afectadas prefieran mantener en secreto el número y montante de las estafas producidas. La ausencia de datos contrastados no ayuda precisamente a la hora de encarar el problema.

El Banco de España frente al phishing

Según anuncia el portal VnuNet, el Banco de España ha exigido a las entidades financieras que ofrecen servicios online (hoy día supongo que todas) que extremen sus medidas para evitar el fraude por Internet y mantener así la confianza de los clientes.

La inciativa es desde luego razonable, pero tras visitar el sitio del Banco de España se echa de menos alguna referencia a esta cuestión (a no ser que yo no haya sido capaz de dar con ella, claro).

12 de Mayo. Me corrijo (aunque sólo un poco) en el Portal Cliente Bancario puede leerse esta escueta nota.

Las cartas en cadena se sofistican

Y es que ayer recibí una. Se trataba de un adjunto Powerpoint que me llegó por correo en el que el Dalai Lama, a través de una encuesta anunciaba la concesión de deseos a quienes la respondieran y se incoporaran a la cadena, remitiendo la presentación a otras personas.

Lo cierto es que no resultaba tan intimidante como otras que recuerdo de otros tiempos: "Fulanito rompió la cadena y contrajo un cáncer!!!", pero por supuesto no voy a reseñar aquí quien me la remitió.

Parches Microsoft del mes de mayo

Como todos los segundos martes de mes Microsoft publicó ayer sus parches de este mes de mayo. O mejor dicho parche, pues se ha tratado de sólo uno, que corrige una vulnerabilidad que podría permitir la ejecución remota de código arbitrario en Windows 2000.

Curiosamente el problema afecta también a Windows 98 y Millenium, aunque Microsoft no publica parche para estos sistemas al consierar que en dichos casos el riesgo no es crítico.

Por supuesto hay también una actualización de la Herramienta Microsoft de Eliminación de Malware, que tengo reseñada aquí.

Actualización de Norman

Esta mañana se ha publicado una nueva actualización de Norman. Sólo contempla nuevas firmas, aunque eso sí, muchas: son 960.

Por cierto que la publicación de esta actualización ha coincidido con un problema de DNS, que ha provocado que las instalaciones que intentaban actualizarse desde el site de Norman hayan informado de un error. Afortunadamente la situación se ha restablecido rapidamente.

Vulnerabilidades en Firefox 1.0.3

Varios medios y recursos se están haciendo eco de dos vulnerabilidades descubiertas ayer en el navegador Firefox 1.0.3.

Aunque por el momento no se dispone de parche que corrija el riesgo de un ataque de cross site scripting, la versión inglesa del ezine de Mozilla recoge una descripción del problema.

A la espera del parche correspondiente una medida de protección (quizá demasiado radical) consiste en desactivar tanto el soporte de JavaScript, como la opción de permitir que los sitios web instalen software.

APWG: Grupo de Trabajo sobre Phishing

Formado por bancos, empresas, ISP y algunos CERT nacionales (USA, China, Brasil, Corea...) el Anti-Phishing Working Group se presenta como una asociación cuyo objetivo es erradicar el fraude y el robo de identidades producido como consecuencia del phishing, el pharming y el spoofing del correo electrónico.

Desafortunadamente, en APWG, no parece haber demasiada presencia española (apenas Panda) o al menos no he encontrado en sus archivos referencia a los ejemplos de phishing "nacional" que han ido apareciendo en los últimos tiempos.

Actualización de Ethereal

Acaba de publicarse una nueva versión del analizador Ethereal, la 0.10.11 que corrige un buen número de vulnerabilidades presentes en versiones anteriores.

En el sitio de Ethereal se encuentran tanto la relación, como la zona de descarga.

Actualizaciones de seguridad para Mac OSX

Publicadas la semana pasada, afectan a la versión 10.3.9, tanto cliente como servidor, y a un buen número de componentes del sistema entre los que están, Apache, Bluetooth, Finder, Terminal o VPN.

Más detalles y acceso a la descarga en este enlace de la web de Apple.

Mejoras en la documentación sobre virus y seguridad

Por fin he conseguido poner en marcha la nueva via de acceso a los recursos y documentos antivirus y de seguridad. Ahora la puerta de entrada es el enlace Antivirus presente en la columna izquierda de las páginas del SICUZ.

Análisis de la evolución del gusano Bagle

En uno de sus últimos envíos, la lista diaria de Hispasec reseña la publicación de un interesante estudio que analiza la evolucíon de las sucesivas variantes del gusano Bagle (a) Beagle.

El texto, extenso y por supuesto en inglés, está dividido en tres secciones:

The Beagle Worm History Through April 24, 2004
The Beagle Worm History Through August 31, 2004
The Beagle Worm History Part III: September 1, 2004 - January 31, 2005

Sober dispara las alertas

Aunque su propagación no alcanza los niveles de otros gusanos anteriores, la última variante de Sober ha disparado las alarmas y así El Centro de Alerta Temprana lo ha catalogado como amenaza de peligrosidad 4 (alta) en una escala que llega hasta el 5 (extrema).

Esta difusión ha provocado que diversas casas antivirus hayan desarrollado y estén distribuyendo herramientas específicas de desinfección de Sober; desde el propio Centro de Alerta pueden descargarse algunas de ellas.

También los medios de comunicación han comenzado a hacerse eco de la situación, y así El Pais informa de que aunque su propagación parece estar disminuyendo, el gusano ha provocado la saturación de los servidores del Comité organizador del Campeonato Mundial de Fútbol Alemania 2006. Y es que el gusano se presenta como archivo adjunto a un mensaje de correo en el que se anuncia al destinatario que ha ganado un sorteo de entradas para el próximo Mundial.

Actualización de Norman

Ayer se produjo una nueva actualización de Norman. En esta ocasión sólo se incorporan nuevas firmas, hasta 292, fundamentalmente de bots.

Nueva variante del gusano Sober

Desde las últimas horas de ayer lunes se está detectando la propagación de una variante del gusano Sober, identificada como "O" por parte de la mayoría de los fabricantes.

El Centro de Alerta Temprana ofrece una descripción detallada aquí.

Hispasec en su mensaje diario, además de la descripción, proporciona su siempre interesante comparativa de los tiempos de respuesta de diversos productos antivirus. En ella se constata que al menos en esta ocasión el número de productos que han proporcionado protección proactiva es bastante esperanzador.

Vulnerabilidades en Lotus Notes y Domino

Según informaba Hispasec este domingo, IBM ha publicado actualizaciones para Lotus Notes y Domino 6.0.5 y 6.5.4 que corrigen diversas vulnerabilidades en estos productos.

Nuevas actualizaciones de Norman

Durante el dia de ayer Norman liberó dos nuevas actualizaciones. La primera, además de incorporar nuevas firmas de virus, completaba el proceso de actualización del motor de escaneo, la versión vigente es ahora la 5.82.01.

La segunda afectaba sólo a los ficheros de firmas de virus para detectar entre otros, la nueva variante de Sober.